软件说明
| 模块 | 子功能 | 功能描述 |
| 基本功能 | 基本信息 | 统计客户端计算机基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息 |
| 基本日志 | 对客户端计算机的开机/关机、用户登入/登出、拨号等的事件记录 | |
| 策略日志 | 记录客户端计算机在执行策略时的操作日志,如禁止、报警、警告和锁定计算机等 | |
| 基本控制 | 对网内任意客户端计算机进行锁定、关闭、重启、注销和发送通知信息等 | |
| 基本策略 | 设置客户端计算机的本地系统的操作权限,包括控制面板、计算机管理、系统管理、网络属性、插件管理等,并可实现IP/MAC地址绑定 | |
| 安全检测 | 对客户端计算机安全状态是否合规进行检测,包括杀毒软件检查、软件安装检查、程序检查、系统服务检查、补丁检查、域用户身份检查、屏幕保护合规检查等 | |
| 系统报警 | 设置当客户端计算机系统状态变化时报警,包括硬件异动,存储设备和通讯设备插拔,软件安装卸载,系统信息和网络配置变化等 | |
| 文档操作管控 | 文档操作日志 | 记录客户端计算机所有文档操作信息,包括在硬盘、移动存储、网络路径、共享目录上所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作 |
| 文档操作控制 | 控制客户端计算机在指定的磁盘类型或者网络上对指定文档的读取、修改和删除操作的权限 | |
| 刻录审计 | 记录刻录的计算机、用户、光盘名称、文件大小、源文件、总个数、刻录份数、刻录机等信息,支持备份刻录文件 | |
| 文档备份 | 为防止重要文档被误删或者篡改,可以在文档内容被篡改或删除时进行备份 | |
| 申请复制 文档到网络盘 |
禁止终端复制文档到网络盘时,用户可通过申请将文档复制到网络盘。也可以通过自我备案,登记后也可以将文档复制到网络盘 | |
| 打印管控 | 打印操作记录 | 详细记录所有打印操作的时间、终端、用户、应用程序、页数、打印机类型和名称,并能够根据时间,文件名,计算机等信息进行查询 |
| 打印内容备份 | 完整记录在所有类型打印机上的文档打印映像,查看打印的原始内容 | |
| 打印控制 | 控制终端打印权限,限制终端对指定类型打印机或指定打印机的使用;控制应用程序打印权限,阻止非法应用程序打印 | |
| 打印浮水印 | 可自定义打印浮水印(文字、图片、二维码、点阵水印)内容,打印纸张上呈现出打印者计算机名、用户名、IP地址、打印时间等信息,并支持微信扫描出二维码信息 | |
| 打印申请 水印取消申请 |
没有打印权限的用户可申请临时放开打印权限,受水印策略控制的用户可临时申请取消打印水印。也可通过客户端自我备案机制,登记完成后便可进行打印 | |
| 设备管控 | 设备控制 | 控制客户端各种设备类型的使用权限: 存储设备:U盘、移动硬盘、软驱、光驱、磁带机、移动存储设备等; 通讯设备:串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等; USB设备:USB 键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备; 网络设备:无线网卡、即插即用网卡、虚拟网卡等; 其他设备:声音设备、虚拟光驱等; 禁止任何新增加的设备 |
| 移动智能终端 | 移动智能终端以便携式设备、U盘存储、手机助手接入,支持对文件外传进行审计和控制 | |
| 刻录控制 刻录申请 |
支持禁止用户使用其他刻录工具,可仅允许使用专用的刻录工具; 可通过申请审批流程临时使用刻录权限,也可通过自我备案的方式使用刻录功能; |
|
| 设备使用 申请 |
受设备策略控制的用户,可通过申请临时放开指定设备的使用权限,也可通过客户端自我备案登记后便可使用某类设备 | |
| 移动存储管控 | 移动存储日志 | 自动收集接入客户端机器的移动存储信息,并对移动存储的各种文档操作进行详细记录 |
| 注册管理 | 对U盘进行注册管理,注册U盘可接入内网,未注册U盘将无法在客户端上使用,实现“外盘外用” | |
| 移动存储授权 | 对移动存储的使用进行授权,限制U盘的读、写权限及使用范围 | |
| 制成加密盘 | 将普通U盘制作成加密盘,加密盘只能在内部客户端机器上识别使用,实现“内盘内用” | |
| 移动存储加密 | 对指定移动存储设备上存取的文档自动进行透明加解密,其他未经授权的客户端或外部的计算机无法读取该移动存储设备中的加密文档 | |
| 移动存储 使用申请 |
当终端移动存储被禁止使用时,用户可以提交使用移动存储的申请,也可通过自我备案登记后便可使用移动存储设备 | |
| 网页浏览管控 | 网页浏览日志 | 详细记录每台计算机(用户)浏览网页的网址和标题,并提供查询功能 |
| 网页浏览统计 | 多种方式统计网页浏览情况,以列表和图表两种方式显示统计结果,统计方式包括按网站类别、明细统计以及按计算机分项统计 | |
| 网站访问控制 | 对指定的客户端在指定的时间范围内访问指定的网站或者网址进行管控 | |
| 上传控制 | 禁止通过http、https、FTP、TCP协议进行网络上传,防止上传文件泄密 | |
| 上传文件 申请管理 |
当终端被禁止通过网页上传文件时,用户可以提交上传文件的申请,审批通过后用户就可以上传文件。也可通过自我备案登记后上传文件 | |
| 邮件管控 | 邮件日志 | 记录标准协议邮件、Exchange邮件收发的收件人、发件人、正文及完整附件;记录网页邮件、Lotus邮件发送的收件人、发件人、正文及完整附件 |
| 邮件外发控制 | 通过邮件的发送人、接收人、主题、附件及邮件大小等条件限制,控制发送邮件的账户,阻止向不被允许的收件人发送邮件,阻止发送特定名称或者超出规定大小的附件 | |
| 强制抄送 | 必须抄送指定收件人才能外发邮件 | |
| 发送邮件 申请管理 |
终端被禁止发送邮件时,用户可提交发送邮件的申请,审批通过后用户就可以正常发送邮件。也可以通过自我备案登记后发送邮件 | |
| 即时通讯管控 | 即时通讯日志 | 完整记录微信、企业微信、QQ、TIM、RTX、钉钉、MSN、Skype、IMO、ICQ、Yahoo通、Sina UC、PoPo、阿里巴巴贸易通,阿里旺旺等主流即时通讯工具的对话时间,对话人、对话内容等信息 |
| 传输文档控制 | 通过文档名称和文档大小等条件的设定,控制即时通讯工具对外发送文档 | |
| IM文件传送备份 | 备份通过即时通讯工具外发的文档 | |
| IM传送文件申请 | 终端被禁止通过IM发送文件时,用户可提交通过IM发送文件的申请,审批通过后就可以通过指定的IM发送文件,也可以通过自我备案登记后发送文件 | |
| 网络流量管控 | 网络流量统计 | 统计客户端在指定时间范围内的网络通讯流量,统计方式包括按地址、协议和端口的类别或明细统计以及按计算机分项统计 |
| 网络流量控制 | 可按网络地址、端口、发送接收方向等对计算机流量进行限制,确保带宽合理利用 | |
| 网络控制 | 网络通讯控制 | 按应用程序、网络地址范围、通讯方向、端口范围等限制网络访问权限 |
| 控制客户端与外来计算机的网络通讯 | ||
| 应用程序管控 | 应用程序日志 | 详细记录应用程序的启动、退出、窗口切换和标题变化,并进行查询 |
| 应用程序统计 | 多种方式统计各种应用程序的使用时间和使用百分比,并以列表和图表两种方式显示 | |
| 应用程序运行控制 | 可按时间限制特定应用程序的运行,并可在受限程序运行时向控制台报警 | |
| 软件安装卸载管理 | 可限制特定应用程序的安装及卸载权限,实现非法程序禁止安装,合法程序禁止卸载 | |
| 屏幕水印 | 支持在计算机屏幕显示图片、文字、二维码、点阵水印,防止拍照泄密 | |
| 软件中心 | 发布及下架软件 | 支持将软件安装包上传到软件中心,经审核确认后正式发布到软件中心页面,用户可自主下载安装软件;当无需再发布该软件时,可由管理员下架该软件 |
| 权限管理 | 管理员设置员工查看及安装软件的权限,防止员工随意安装与工作岗位无关的软件 | |
| 软件安装卸载 | 用户可直接通过软件中心页面,选择所需的软件进行安装或卸载 | |
| 软件升级 | 管理员在软件中心更新软件版本后,用户可直接通过软件中心升级软件 | |
| 多模式分发 | 支持http协议及强大的p2p协议分发模式,使软件下载更加迅速 | |
| 自定义化标题logo | 管理员可自定义设置软件中心的Logo图标和名称,无需特殊定制替换 | |
| 管理日志 | 可通过审计日志记录管理员在软件中心的操作行为,包括操作时间、操作类型、管理员名称、登录IP、具体设置等详细信息 | |
| 屏幕监控 | 实时屏幕快照 | 实时查看客户端的屏幕快照,并进行追踪 |
| 多屏监视 | 实时查看多个用户的屏幕画面,支持对多显示器的监控,可同时对一组计算机进行实时监控 | |
| 屏幕历史记录 | 记录客户端的历史屏幕画面,根据不同应用实现变频记录;配合日志记录查看当时的屏幕情况;支持将屏幕历史转存为通用视频文件,并进行播放 | |
| 文档云备份 | 即时备份 | 用户对文档进行新建、修改、重命名、复制、移动等操作时,支持对文档进行实时备份 |
| 定期备份 | 定期对终端的文档进行备份,可设置定期扫描的日期和扫描的时段 | |
| 全盘扫描备份 | 支持通过设置全盘扫描任务,批量将终端的文档备份到服务器,可设置备份文档的类型、文件大小、扫描时段等等 | |
| 备份策略 | 可设置备份文档类型、排除文件,备份文件大小、备份间隔、备份流量、备份的日期和时段等条件,终端计算机依据设置的条件进行备份 | |
| 副本管理 | 支持设置保留多个历史副本 | |
| 防存储冗余 | 支持通过文档内容和文件大小进行判断,如果是相同的文档,则只会将其中一份上传到服务器,有效提升带宽和存储空间利用率 | |
| 备份预览 | 支持查看备份库的组织架构用户列表,备份文档以终端实际盘符目录的形式呈现,显示备份文档名称、文件类型、大小和修改时间 | |
| 备份文件查找 | 支持通过用户、计算机、修改时间的起始/终止时间、文件大小等条件查找备份文档 | |
| 权限管理 | 支持角色管理,可通过角色赋予不同用户对备份文档的查看、下载和删除权限 | |
| 磁盘空间告警 | 磁盘空间剩余量达到阈值时,支持发送警报和停止备份的措施 | |
| 磁盘空间清理 | 当磁盘空间剩余量小于指定的阈值时执行自动清理,可设置保留的历史副本数量,支持自动清理指定天数前的备份文档及副本 | |
| 文档备份操作日志 | 记录文档备份的类型、时间、计算机、计算机组、用户、用户组、关联用户、文件名、文件大小等信息 | |
| 审计管理员操作日志 | 记录管理员的操作行为,包括:登录计算机、登录用户、被浏览计算机、操作类型(登录系统、退出系统、下载、删除、修改设置)、详细信息 | |
| 资产管理 | 资产管理 | 自动扫描并完整记录每台终端软硬件资产信息,详尽记录资产变更信息,可自定义资产属性进行辅助信息管理 |
| 补丁管理 | 自动扫描客户端的微软产品补丁安装情况,并进行分发安装 | |
| 漏洞管理 | 自动扫描客户端的安全漏洞情况,并提供漏洞说明和解决方案,支持对系统密码复杂度的检测及控制 | |
| 软件分发 | 自动部署和安装软件、执行程序或者派送文档,支持断点续传,支持后台安装和交互安装 | |
| 软件卸载 | 支持对违规软件进行批量卸载 | |
| 远程维护 | 查看运维信息 | 实时查看客户端的运行信息(如当前应用程序、进程、服务),远程分析客户端运行状况和故障原因,并可以执行远程操作,帮助解决问题 |
| 远程控制 | 远程连接到客户端计算机的桌面,直接操作客户端,方便进行远程协助或操作示范 | |
| 远程文件传送 | 远程打开指定客户端的文件夹,传送文件和搜集故障样本 | |
| 慧眼风险审计报表 | 统计表 | 从多种纬度统计分析每一项操作行为,包括打印、电子邮件、移动存储、文档操作、程序应用、上网浏览、即时通讯、软硬件资产、文档加密、解密和外发等,帮助快速掌握内网计算机的应用情况 |
| 趋势表 | 直观展现用户行为的变化趋势,为管理者后续改善管控策略提供依据 | |
| 风险征兆报表 | 提供分级征兆预警机制,当行为达到设定的阈值时,自动记录征兆事件及其级别,提醒管理人员关注和处理 | |
| 私人定制报表 | 根据企业管理需要,设置个性化的统计分析条件,获取自定义私人报表 | |
| 周期报表 | 设定固定的时间周期,自动生成周期报表,并支持邮件订阅,定时将周期报表发送给指定相关人员 | |
| 敏感内容识别 | 敏感内容定义 | 支持通过关键字、正则式定义敏感信息,也支持从样本文档中提取特征信息,定义敏感信息 |
| 敏感内容发现 | 通过本地扫描、远程扫描敏感内容,发现包含敏感内容的文档 | |
| 敏感内容监视 | 实时监视新建、修改、下载、接收文件的行为,对含敏感内容的文件进行审计、报警和警告 实时监视通过即时通信、邮件、网页上传、网络盘、存储设备传输的文件,对包含敏感内容的文件进行审计、备份、报警和警告 |
|
| 敏感内容保护 | 实时监视通过即时通信、邮件、网页上传、网络盘、存储设备外传的文件,对包含敏感内容的文件实施阻断传输。 实时监视新建、修改保存、下载、接收文件的行为,对包含敏感内容的文件进行加密保护。 |
|
| 日志审计 | 可详细记录敏感信息外传、落地的操作,包括操作类型、时间、计算机/组、用户/组、源文件、文件大小、路径、磁盘类型等信息 | |
| 文档透明加密 | 透明加密 | 采用高强度加密技术,对文档进行强制透明加密,使得无论何时何地文档都以密文形式存在。在授信环境中,文档能自动解密,丝毫不影响用户原有的使用习惯;在非授信环境中,加密文档则无法正常打开和使用。 在加密文档的使用过程中, 能够防止用户通过剪贴板,截屏,虚拟打印等方式窃取加密文档内容。 |
| 加密模式 | 强制加密:指定类型文档进行强制性自动加密,整个过程无需人工参与,自动完成加密。 智能加密:加密文档修改、另存以后,仍旧是加密文档,普通文档修改、保存后仍是明文状态。 只读加密:新建的文档不加密,但能以只读的方式查看加密文档,不能对加密文档进行修改。 |
|
| 权限控制 | 根据文档的重要程度不同,可将加密文档划归不同的安全区域和级别,以便让不同部门和职位的用户使用,建立分部门分级别的保密机制。 用户可调整文档的区域和级别,对重要文档可采取提高其级别的方法来禁止普通用户的使用。 |
|
| 外发管理 | 支持用户通过申请解密、直接解密和邮件白名单的方式解密文件,然后将明文文件外发出去给客户、合作伙伴等企业外部人员,支持在一定的时间内自动重新加密被解密的文件。 能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,同时可限制外发文档的查看期限、次数及其他使用权限,防止二次泄密。 |
|
| 离线授权 | 根据实际需要授予用户离开授信环境后的加密文档的使用权限,支持单独设置用户离线时能使用的加密软件类别和文档使用权限 | |
| 安全审批APP 安全查看器APP |
支持移动端(手机、PAD)安全审批,能在移动端即时接收申请通知并进行审批。 支持在移动端(手机、PAD)直接预览加密文件,也支持直接加密或解密移动端的文件。 |
|
| 离线权限USBkey | 员工携带计算机出差,插入离线权限USBKEY(类似U盘),可保证离线的情况下,加密功能继续使用,也可以临时提升解密、外发的权限 | |
| U盘加密客户端 | 插入U盘加密客户端(类似U盘)能打开加密文件,拔出U盘加密客户端则不能打开加密文件,不用另外安装加密客户端 | |
| 灾备机制 | 备用服务器设计能够应对各种硬件和系统崩溃的情况,保证加密系统连续运转;同时采用的文档备份服务器能够以明文完整备份所有加密文档,即使意外出现,用户的文档依然完整可用 | |
| 安全网关 (硬件) |
杜绝非法计算机 访问服务器 |
禁止非法计算机访问受保护的服务器,保障服务器的安全 |
| 上传解密 下载加密 |
终端将加密文档上传到服务器自动解密,服务器文档下载到本地自动强制加密,防止服务器数据下载泄密 | |
| 支持终端类型 | 支持Windows全系列,Mac OS,Linux,Android和iOS操作系统 | |
| 支持服务器类型 | 支持企业常见的信息管理系统OA、ERP、PLM、SVN、文件服务器等等,支持B/S和C/S两种架构模式 | |
| 认证方式 | 计算机安装了IP-guard客户端程序,通过指定的安全进程才可以访问服务器 对于特殊的计算机,比如公司领导的电脑或临时访客,可以通过设置IP/MAC地址白名单,允许其访问服务器 |
|
| 网页跳转 | 对未安装IP-guard客户端的计算机和未启用安全通讯策略的客户端,访问受保护的服务器时,访问受阻会被引导至警告页面 | |
| 容灾机制 | 具备ByPass功能,保证业务的连续性 | |
| 部署方式 | 支持串接部署,不需要改变网络结构、路由配置等环境 支持旁路部署,即可同时保护多个物理位置的多台服务器 |
|
| 软件网关 | 适用场景 | 软网关适用于云服务器的保护,对不方便架设硬件网关的传统物理服务器,也可通过部署软网关进行保护 |
| 杜绝非法计算机 访问服务器 |
禁止非法计算机访问受保护的服务器,只有授权的计算机才能访问受保护的服务器,确保服务器的访问安全 | |
| 认证方式 | 计算机安装了IP-guard客户端程序,并且启用加密通讯,通过指定的安全进程才能访问服务器; 对于特殊的计算机,比如公司领导的电脑或临时访客,可以通过白名单或访客账号,允许其访问服务器; |
|
| 上传解密 下载加密 |
支持对上传到服务器的文档进行自动解密,下载到终端计算机的文档进行自动加密,整个加解密过程由终端计算机完成,防止服务器数据下载泄密 | |
| 附件加解密 | 支持对上传到服务器的文档进行自动解密,下载到终端(计算机/智能终端)的文档进行自动加密,整个加解密过程由软网关完成,防止服务器数据下载泄密 | |
| 支持终端类型 | 支持Windows、MacOS、Linux、Android和iOS操作系统 | |
| 支持服务器类型 | 支持企业常见的信息管理系统OA、ERP、PLM、SVN、文件服务器等等,支持B/S和C/S架构模式 | |
| 网页跳转 | 对未安装IP-guard客户端程序或未启用加密通讯的计算机,访问受保护的服务器时会受阻,将被自动引导至警告页面,并提醒用户安装IP-guard客户端程序 | |
| 容灾机制 | 具备类似于硬件网关的ByPass功能,可保证业务的连续性不受影响 | |
| 部署方式 | 如果受保护的服务器是linux系统,可将软网关直接部署在服务器上,实现对服务器的保护; 如果受保护的服务器不是linux系统,可在新建linux系统上部署反向代理和软网关,实现对服务器的保护; |
|
| 准入网关 (硬件) |
准入控制 | 阻断非法计算机接入企业网络对服务器、互联网等进行访问,非法计算机可根据需要将其引导至隔离区进行修复,合法的计算机可直接连入企业网络访问受保护的服务器和互联网 |
| 安全状态检查 | 对通过准入网关连入企业网络的计算机进行安全状态合规检查(如:是否安装指定软件、杀毒软件,病毒库、系统补丁是否更新,是否允许指定程序、系统服务等),满足条件则允许接入网络,否则拒绝访问并发出警告信息,并强制其跳转至隔离区进行修复 | |
| 访客管理 | 对临时来访的外来计算机,因工作需要接入企业内部网络时,可以设定访客账户,通过浏览器输入账号密码进行身份认证,通过后即可连入企业网络 | |
| 认证方式 | 提供授权、信任、访客账户、白名单、例外地址等认证方式,适应企业多样化的接入场景 | |
| 容灾机制 | 具备ByPass功能,保证网络高效稳定 | |
| 部署方式 | 支持串接、旁路、镜像三种部署模式,不需要改变企业的网络结构 | |
| 安全U盘 (硬件) |
分区使用 | 安全U盘设有保密区和交互区,保密区只能在内部授权的客户端机器上使用,交互区可在任意计算机上使用 |
| 密码保护 | 安全U盘在外部使用时,必须先通过密码认证方可使用 | |
| 专用资源管理器 | 安全U盘交互区只能通过专用资源管理器访问,病毒木马等无法调用专用资源管理器自动运行,有效防止了病毒木马的传播 | |
| 日志审计 | 无论在公司内外部使用,都能对安全U盘使用情况及U盘文档的操作情况进行详细记录 | |
| 防格式化 | 安全U盘通过硬件芯片级保护,禁止非授权的格式化操作,保证U盘的安全性和可靠性 |